1 Temat przez trolcio (edytowany przez trolcio 2016-05-19 08:08:39)

  • Skąd: Siedlce
  • Zarejestrowany: 2014-08-06
  • Posty: 27

Temat: [ROZWIĄZANY] Routing w OpenVPN po raz kolejny

Witam,

wiem, że temat routingu pakietów przez tunel był już wałkowany wiele razy i we wszystkie strony, ale nigdzie nie napotkałem rozwiązania mojego problemu:

Posiadam następującą konfigurację:

Serwer VPN (adres tun: 10.10.10.1, LAN: 192.168.0.0/24), to VPS ze stałym zewnętrznym IP i zainstalowanym OpenVPN

port 143
proto tcp
dev tun

server 10.10.10.0 255.255.255.0
route 192.168.1.0 255.255.255.0 10.10.10.1
route 192.168.2.0 255.255.255.0 10.10.10.1
ifconfig-pool-persist /etc/openvpn/server/ipp.txt

client-to-client

keepalive 10 120

client-config-dir /etc/openvpn/server

persist-key
persist-tun
status /etc/openvpn/server/status.txt
log /etc/openvpn/server/log.txt
verb 3
<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

<dh>
...
</dh>

Klienci:
TP-Link MR3420v1 (adres tun: 10.10.10.10, LAN: 192.168.1.0/24), z zainstalowanym CC

Zawartość pliku konfiguracyjnego klienta:
ifconfig-push 10.10.10.10 10.10.10.9
iroute 192.168.1.0 255.255.255.0 10.10.10.1

TP-Link MR3420v2 (adres tun: 10.10.10.20, LAN: 192.168.2.0/24), z zainstalowanym CC

Zawartość pliku konfiguracyjnego klienta:
ifconfig-push 10.10.10.20 10.10.10.19
iroute 192.168.2.0 255.255.255.0 10.10.10.1

Kilku klientów na Android, którzy pracują na jednym certyfikacie

Brak plików konfiguracyjnych dla klientów Android

Na chwilę obecną:
- każdy klient "widzi" serwer
- serwer widzi każdego klienta
- klienci widzą się pomiędzy sobą, ale tylko wewnątrz tunelu
- serwer widzi LAN za każdym klientem (nie licząc tych androidowych)
- klienci nie widzą sieci LAN innych klientów

Mój problem polega na tym, że co bym nie robił, to klienci nie widzą wzajemnie swoich sieci LAN. To co jest za LAN serwera mnie póki co nie interesuje.

W tej chwili radzę sobie przekierowując porty, ale urządzeń w sieciach przybywa, a moje rozwiązanie wymaga ręcznego dodawania reguł, no i potem trzeba pamiętać, co jest na którym porcie, krótko mówiąc rozwiązanie jest upierdliwe i niewygodne.

Pytanie: co robię źle, albo jak należy poprawnie ustawić routing w konfiguracji serwera albo klientów, aby każdy klient miał  dostęp do zasobów LAN pozostałych klientów?

2 Odpowiedź przez khain (edytowany przez khain 2016-05-18 09:53:15)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: [ROZWIĄZANY] Routing w OpenVPN po raz kolejny

Serwer zawsze ustawia sobie adres 10.10.10.1?
Aby na pewno tak było dodaj do konfigu serwera

ifconfig              10.10.10.1 255.255.255.0

A w plikach ccd klientów zmień na:
- dla TP-Link MR3420v1

ifconfig-push 10.10.10.10 255.255.255.0
iroute 192.168.1.0 255.255.255.0

- dla TP-Link MR3420v2

ifconfig-push 10.10.10.20 255.255.255.0
iroute 192.168.2.0 255.255.255.0
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

3 Odpowiedź przez trolcio

  • Skąd: Siedlce
  • Zarejestrowany: 2014-08-06
  • Posty: 27

Odp: [ROZWIĄZANY] Routing w OpenVPN po raz kolejny

Serwer zawsze ustawia sobie adres 10.10.10.1, przynajmniej nigdy nie widziałem, żeby było inaczej, dodałem polecenie ifconfig 10.10.10.1, bez zmian. Co do konfiguracji w ccd klientów to próbowałem już we wszystkie strony, ale dodałem tak jak proponujesz, niestety bez powodzenia.

Swoją drogą polecenie iroute dodaje nową trasę routingu wewnątrz tunelu, tak? Dla czego więc mam routować pakiety tylko z sieci 192.168.1.0/24, a co z siecią 192.168.2.0/24? Nie ma potrzeby jej dodawania? Z reguły tak jest, gdy serwer stoi na jednym z routerów, tutaj mam osobny serwer, który ma być tylko mostem. Próbowałem dodawać obie sieci naraz, potem oddzielnie, potem odpowiednio klientowi 1 wskazywałem sieć 1, drugiemu wskazywałem sieć 2 i naprzemiennie 1-2 i 2-1, również bez powodzenia, klienci nie widzą zasobów za NAT innego klienta.

poniżej tabele routingu:
Serwer:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         1.252.forpsi.ne 0.0.0.0         UG    0      0        0 eth0
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun0
10.10.10.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
81.2.252.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
link-local      0.0.0.0         255.255.0.0     U     1002   0        0 eth0
192.168.2.0     euer-vpn        255.255.255.0   UG    0      0        0 tun0

Klient1:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.8.1     0.0.0.0         UG    0      0        0 eth2
10.10.10.0      10.10.10.9      255.255.255.0   UG    0      0        0 tun0
10.10.10.9      *               255.255.255.255 UH    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.8.0     *               255.255.255.0   U     0      0        0 eth2
192.168.8.1     *               255.255.255.255 UH    0      0        0 eth2

Klient2:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.8.1     0.0.0.0         UG    0      0        0 eth2
10.10.10.0      10.10.10.19      255.255.255.0   UG    0      0        0 tun0
10.10.10.19      *               255.255.255.255 UH    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.8.0     *               255.255.255.0   U     0      0        0 eth2
192.168.8.1     *               255.255.255.255 UH    0      0        0 eth2

4 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: [ROZWIĄZANY] Routing w OpenVPN po raz kolejny

trolcio napisał/a:

Witam,

wiem, że temat routingu pakietów przez tunel był już wałkowany wiele razy i we wszystkie strony, ale nigdzie nie napotkałem rozwiązania mojego problemu:
...
- klienci nie widzą sieci LAN innych klientów

Mój problem polega na tym, że co bym nie robił, to klienci nie widzą wzajemnie swoich sieci LAN. To co jest za LAN serwera mnie póki co nie interesuje.

http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

5 Odpowiedź przez trolcio

  • Skąd: Siedlce
  • Zarejestrowany: 2014-08-06
  • Posty: 27

Odp: [ROZWIĄZANY] Routing w OpenVPN po raz kolejny

mar_w napisał/a:

http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

Dziękuję za nakierowanie, nie trafiłem na ten artykuł wsześniej.

Poczytałem i teraz routing pakietów działa ja należy! Wygląda na to, że w konfiguracji serwera nie ustawiłem ścieżki zwrotnej dla pakietów.

W tej chwili konfiguracja serwera wygląda tak:

# KONFIGURACJA POŁĄCZENIA
port 143
proto tcp
dev tun

# KONFIGURACJA ADRESACJI TUNELU
server 10.10.10.0 255.255.255.0
ifconfig 10.10.10.1 255.255.255.0

# KONFIGURACJA ROUTINGU PRZEZ TUNEL
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 10.10.10.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
client-to-client

# KONFIGURACJA ŚCIEŻEK DO PLIKÓW
client-config-dir /etc/openvpn/server
status /etc/openvpn/server/status.txt
log /etc/openvpn/server/log.txt
ifconfig-pool-persist /etc/openvpn/server/ipp.txt

# INNE
keepalive 10 120
persist-key
persist-tun
verb 3

# CERTYFIKATY
<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

<dh>
...
</dh>

Konfiguracja klienta 1 i klienta 2:

config openvpn 'VPN_client'
    option enabled '1'
    option client '1'
    option dev 'tun'
    option resolv_retry 'infinite'
    option nobind '1'
    option persist_key '1'
    option persist_tun '1'
    option log '/etc/openvpn/log'
    option status '/etc/openvpn/status'
    option dev_type 'tun'
    option remote_cert_tls 'server'
    option verb '3'
    option proto 'tcp'
    option port '143'
    option remote '1.2.3.4'
    option key '/etc/openvpn/keys/client.key'
    option ca '/etc/openvpn/keys/ca.ca'
    option cert '/etc/openvpn/keys/client.cert'

Plik ccd Klient 1:

ifconfig-push 10.10.10.10 10.10.10.11
iroute 192.168.1.0 255.255.255.0

Plik ccd Klient 2:

ifconfig-push 10.10.10.20 10.10.10.21
iroute 192.168.2.0 255.255.255.0

Klienci Androidowi nie mają swoich plików ccd, pliki konfiguracyjne są analogiczne do tych dla klienta 1 i 2

dziękuję za pomoc,
pozdrawiam

temat można zamknąć